O malware Bumblebee voltou a ser detectado em novos ataques, meses após sua operação ser interrompida pela Europol durante a chamada ‘Operação Endgame’, em maio deste ano.
Desenvolvido pelos mesmos criadores do TrickBot, o Bumblebee foi lançado em 2022 como sucessor do BazarLoader, facilitando o acesso de grupos de ransomware a redes de vítimas. Suas campanhas de infecção se baseiam principalmente em técnicas de phishing, malvertising e SEO poisoning, promovendo falsos softwares como Zooom, Cisco AnyConnect, ChatGPT e Citrix Workspace.
Entre as ameaças entregues pelo Bumblebee estão o Cobalt Strike, malwares que roubam informações e diferentes tipos de ransomware.
Operação Endgame e o silêncio temporário
Em maio, uma ação policial internacional batizada de ‘Operação Endgame’ resultou na apreensão de mais de 100 servidores responsáveis por operações de malware, incluindo Bumblebee, IcedID, TrickBot e outros. A operação conseguiu desativar temporariamente o malware, que ficou sem atividades por meses.
No entanto, pesquisadores da empresa de segurança Netskope identificaram novas atividades do Bumblebee, sugerindo um possível retorno.
Novo ciclo de ataques do Bumblebee
Os novos ataques começam com um e-mail de phishing que leva a vítima a baixar um arquivo ZIP malicioso. Dentro do arquivo está um atalho (.LNK) que executa um comando PowerShell para baixar um arquivo MSI disfarçado de atualização do driver NVIDIA ou instalador do Midjourney.
Esse arquivo MSI é executado em segundo plano sem qualquer interação do usuário, usando o comando msiexec.exe com a opção /qn. Para evitar criar novos processos visíveis, o malware utiliza uma técnica que carrega a DLL diretamente no msiexec.exe, o que reduz a detecção.
Após ser carregado, o malware descompacta e carrega o Bumblebee na memória, permitindo sua execução sem deixar rastros óbvios.
Características do novo ataque
A nova versão do Bumblebee carrega uma DLL interna com funções e mecanismos de extração de configuração similares a versões anteriores. Um detalhe interessante é o uso da string “NEW_BLACK” como chave RC4 para descriptografar sua configuração. Além disso, foram identificadas duas campanhas ativas com os IDs “msi” e “lnk001”.
Embora a Netskope ainda não tenha revelado os detalhes sobre as cargas entregues ou a escala das campanhas, o alerta reforça a atenção necessária com o ressurgimento desse malware.
Os indicadores de comprometimento completos estão disponíveis no GitHub da Netskope.